Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La RSA Conference accoglie le soluzioni italiane di cybersecurity
- Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report di Google
- Una patch di Windows introduce una nuova vulnerabilità
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
$90.000 in premi per le vulnerabilità risolte in Chrome 104
Le vulnerabilità risolte con l’uscita del nuovo Chrome 104 hanno fatto guadagnare ai ricercatori esterni che li hanno segnalati ricompense, le cosiddette bug bounty, per $90.000
L’ultima versione di Chrome, pubblicata questa settimana (104.0.5112.79 per Mac/Linux e 104.0.5112.79/80/81 per Windows) contiene una serie di correzioni e miglioramenti, tra cui la risoluzione di 27 bug.
Come sempre, a scoprire le vulnerabilità del browser non sono state solo le persone che lavorano per Google ma anche ricercatori di tutto il mondo, stimolati a individuare i bug da ingenti premi economici.
Il premio più alto, di 15.000 dollari, è stato ottenuto da un ricercatore anonimo che ha scoperto una vulnerabilità UAF (Use-After-Free) nel componente Omnibox, identificata come CVE-2022-2603.
Questo tipo di vulnerabilità è legato all’uso non corretto della memoria dinamica durante il funzionamento del programma. Se dopo aver liberato una posizione di memoria, il software non cancella il puntatore a essa, un aggressore può sfruttare l’errore per hackerare il programma. Le UAF sono spesso sfruttate per uscire dalla sandbox del browser.
Sempre legati a bug di questa tipologia, questa volta identificati nel componente Safe Browsing (CVE-2022-2604), nell’API Managed devices (CVE-2022-2606) e nel componente WebUI (CVE-2022-2620) sono stati i premi dei ricercatori Nan Wang e Guang Gong di 360 Alpha Lab. Hanno ottenuto rispettivamente 10.000, 5.000 e 2.000 dollari per le loro segnalazioni.
A differenza degli altri citati, tutti di alto livello di gravità, il bug CVE-2022-2620 è di livello medio. L’individuazione di varie altre vulnerabilità UAF da parte di diversi analisti è stata premiata con importi tra i 1000 e i 5000 dollari e per una non è stata ancora determinata l’entità della ricompensa.
Tra i bug di grave entità c’è anche una vulnerabilità Out-of-bounds read nel componente Dawn (CVE-2022-2605) segnalata da Looben Yang e premiata con $7.000. Le vulnerabilità Out-of-bounds possono essere sfruttate per leggere dati al di fuori del buffer, permettendo ai pirati di accedere a informazioni sensibili memorizzate in altre posizioni della memoria o causare un crash del sistema.
In totale i premi assegnati per le vulnerabilità risolte da questa versione hanno raggiunto un valore di $90.000. Nessuna di esse sembra essere stata sfruttata in attacchi.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La RSA Conference accoglie le soluzioni italiane di... Quest’anno la RSA Conference, il più grande evento... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat...
-
Una patch di Windows introduce una nuova vulnerabilità Una delle ultime patch di Windows, rilasciata per risolvere... -
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di...
Ransomware: la serie
No posts found.
